ProHoster > Blog > administration > Sécurité des informations des solutions matérielles USB sur IP

Sécurité des informations des solutions matérielles USB sur IP

Récemment partagé expérience dans la recherche d'une solution pour organiser l'accès centralisé aux clés de sécurité électroniques dans notre organisation. Les commentaires ont soulevé un sérieux problème de sécurité des informations sur les solutions matérielles USB sur IP, qui nous inquiète beaucoup.

Alors, commençons par décider des conditions initiales.

  • Un grand nombre de clés de sécurité électroniques.
  • Ils doivent être accessibles depuis différents emplacements géographiques.
  • Nous envisageons uniquement des solutions matérielles USB sur IP et essayons de sécuriser cette solution en prenant des mesures organisationnelles et techniques supplémentaires (nous n'envisageons pas encore la question des alternatives).
  • Dans le cadre de cet article, je ne décrirai pas entièrement les modèles de menace que nous envisageons (vous pouvez en voir beaucoup dans Publication), mais je me concentrerai brièvement sur deux points. Nous excluons du modèle l'ingénierie sociale et les actions illégales des utilisateurs eux-mêmes. Nous envisageons la possibilité d'un accès non autorisé aux périphériques USB à partir de n'importe quel réseau sans informations d'identification régulières.

Sécurité des informations des solutions matérielles USB sur IP

Pour assurer la sécurité de l'accès aux périphériques USB, des mesures organisationnelles et techniques ont été prises :

1. Mesures de sécurité organisationnelles.

Le hub USB sur IP géré est installé dans une armoire serveur verrouillable de haute qualité. L'accès physique y est rationalisé (système de contrôle d'accès aux locaux mêmes, vidéosurveillance, clés et droits d'accès pour un nombre de personnes strictement limité).

Tous les périphériques USB utilisés dans l'organisation sont divisés en 3 groupes :

  • Critique. Signatures numériques financières – utilisées conformément aux recommandations des banques (pas via USB sur IP)
  • Important. Les signatures numériques électroniques pour les plateformes de trading, les services, le flux de documents électroniques, les rapports, etc., ainsi qu'un certain nombre de clés pour les logiciels, sont utilisées à l'aide d'un hub USB sur IP géré.
  • Pas critique. Un certain nombre de clés logicielles, d'appareils photo, un certain nombre de lecteurs flash et de disques contenant des informations non critiques, des modems USB - sont utilisés à l'aide d'un hub USB sur IP géré.

2. Mesures techniques de sécurité.

L'accès réseau à un hub USB sur IP géré est fourni uniquement au sein d'un sous-réseau isolé. L'accès à un sous-réseau isolé est fourni :

  • à partir d'une ferme de serveurs de terminaux,
  • via VPN (certificat et mot de passe) à un nombre limité d'ordinateurs et portables, via VPN ils reçoivent des adresses permanentes,
  • via des tunnels VPN reliant les bureaux régionaux.

Sur le hub USB sur IP géré DistKontrolUSB, à l'aide de ses outils standards, les fonctions suivantes sont configurées :

  • Pour accéder aux périphériques USB sur un hub USB sur IP, le cryptage est utilisé (le cryptage SSL est activé sur le hub), bien que cela puisse être inutile.
  • « Restreindre l'accès aux périphériques USB par adresse IP » est configuré. En fonction de l'adresse IP, l'utilisateur a accès ou non aux périphériques USB attribués.
  • « Restreindre l'accès au port USB par login et mot de passe » est configuré. En conséquence, les utilisateurs se voient attribuer des droits d'accès aux périphériques USB.
  • « Restreindre l'accès à un périphérique USB par login et mot de passe » a été décidé de ne pas être utilisé, car Toutes les clés USB sont connectées en permanence au hub USB sur IP et ne peuvent pas être déplacées d'un port à l'autre. Il est plus logique pour nous de fournir aux utilisateurs un accès à un port USB sur lequel un périphérique USB est installé depuis longtemps.
  • L'activation et la désactivation physique des ports USB s'effectuent :
    • Pour les clés de logiciels et de documents électroniques - à l'aide du planificateur de tâches et des tâches assignées du hub (un certain nombre de clés ont été programmées pour s'allumer à 9.00h18.00 et s'éteindre à 13.00h16.00, un certain nombre de XNUMXhXNUMX à XNUMXhXNUMX) ;
    • Pour les clés des plateformes de trading et un certain nombre de logiciels - par des utilisateurs autorisés via l'interface WEB ;
    • Les appareils photo, un certain nombre de clés USB et de disques contenant des informations non critiques sont toujours allumés.

Nous partons du principe que cette organisation de l'accès aux périphériques USB garantit leur utilisation en toute sécurité :

  • des directions régionales (sous condition NET n°1...... NET n°N),
  • pour un nombre limité d'ordinateurs et d'ordinateurs portables connectant des périphériques USB via le réseau mondial,
  • pour les utilisateurs publiés sur les serveurs d'applications Terminal.

Dans les commentaires, j'aimerais entendre des mesures pratiques spécifiques qui augmentent la sécurité des informations en fournissant un accès mondial aux périphériques USB.

Source: habr.com

Ajouter un commentaire